RIAEvangelist นักพัฒนาโมดูล node-ipc ที่ได้รับความนิยมสูง ใส่โค้ดเพื่อลบไฟล์ผู้ใช้หากตรวจสอบไอพีแล้วพบว่าผู้ใช้อยู่ในรัสเซียหรือเบลารุส ไม่ว่าผู้ใช้จะติดตั้งโมดูลโดยตรงหรือติดตั้งจาก dependency โมดูลอื่นๆ ก็ตาม
ทาง GitHub ออกมาประกาศว่าเวอร์ชั่น 10.1.1 และ 10.1.2 ที่ผู้ดูแลใส่โค้ดเข้ามานี้เป็นช่องโหว่ร้ายแรงระดับวิกฤติ ตอนนี้ทาง NPM ได้ลบเวอร์ชั่นเหล่านี้ออกแล้ว และมีการอัพเดตเป็นเวอร์ชั่น 10.1.3
แนวทางการโจมตีผู้ใช้บน NPM ที่ดาวน์โหลดโมดูลมาติดตั้งเริ่มมีบ่อยขึ้นเรื่อยๆ ในช่วงหลัง เมื่อต้นปีที่ผ่านมาผู้พัฒนาโมดูล color.js ก็ใส่โค้ดมุ่งร้ายเอง แต่ไม่ได้ทำอะไรร้ายแรงไปกว่าการพิมพ์ขยะไม่รู้จบจนโปรแกรมค้างเท่านั้น ครั้งนี้น่าจะเป็นครั้งแรกๆ ที่โมดูลมุ่งร้ายโดยมุ่งทำลายข้อมูลในเครื่องจริงๆ
ตอนนี้หน้า issue ของโครงการเต็มไปด้วยการประท้วงจากนักพัฒนาที่ไม่พอใจผู้ดูแลโครงการที่ใส่โค้ดมุ่งร้ายเช่นนี้
ที่มา - The Register